¿El uso de software de dirección IP virtual viola las leyes y regulaciones nacionales?
Es una violación del Reglamento de Operación y Gestión de la Red de Información de State Grid Corporation (Prueba)
Disposiciones Generales
Artículo 1 La red de información de State Grid Corporation es producido y producido por State Grid Corporation de China. Es una herramienta importante para la operación y gestión y una garantía importante para la seguridad, estabilidad, economía y funcionamiento de alta calidad de la red eléctrica. La seguridad de la red de información es una parte importante del sistema de gestión de seguridad de la producción de energía de State Grid Corporation de China. Con el fin de estandarizar la operación y gestión de la red de información de State Grid Corporation, mejorar el nivel de operación y gestión de la red de información, garantizar la operación segura, confiable y estable de la red de información de State Grid Corporation y promover el trabajo de informatización de State Grid Corporation, estas regulaciones están especialmente formuladas.
Artículo 2: Esta red de información se refiere a los sistemas de red y los sistemas de aplicaciones de red de varias unidades de State Grid Corporation de China, incluidos sistemas de red, sistemas de servicios de red, sistemas de aplicaciones, sistemas de seguridad, sistemas de almacenamiento de red. , sistemas auxiliares, etc.
Artículo 3 Este reglamento se aplica a la operación y gestión de redes de información informática en todas las unidades del sistema State Grid Corporation de China. El trabajo de operación y gestión de redes de información de todas las empresas operadoras de redes eléctricas y empresas de servicios de información en el sistema de State Grid Corporation de China debe implementar estrictamente este procedimiento y preparar los procedimientos operativos correspondientes y los detalles de implementación de gestión de operaciones basados en este procedimiento.
Artículo 4 Los procedimientos y reglamentos pertinentes para la operación y gestión de la red de información emitidos por cada unidad no entrarán en conflicto con las leyes nacionales pertinentes y estos reglamentos.
Artículo 5 cita normas y documentos de referencia:
(1) Reglamento sobre la protección de la seguridad de los sistemas de información informática de la República Popular China
(2) China Disposiciones provisionales de la República Popular China sobre la gestión de redes internacionales de información informática
(3) Medidas de implementación de las disposiciones provisionales de la República Popular China sobre la gestión de redes internacionales de información informática Redes
(4) ) Medidas de Gestión para la Protección de la Seguridad de las Redes Internacionales de Redes de Información Informática
(5) Medidas para la Gestión de los Canales de Entrada y Salida de las Redes Internacionales de Información Informática Redes
(6) Medidas para la gestión de redes internacionales de computadoras públicas en China
(7) Medidas de China para la administración de comunicaciones públicas multimedia
( 8) Disposiciones provisionales sobre la interconexión de redes privadas y redes públicas
(9) Disposiciones provisionales sobre la gestión de la confidencialidad de los sistemas de información informática
(10) Medidas provisionales para la aprobación de comunicaciones, Ofimática y sistemas informáticos de información que involucran secretos de estado
(11) Directrices para el uso y gestión de contraseñas para sistemas informáticos que involucran secretos
(12) Reglamento sobre la gestión de contraseñas comerciales
(13) Reglamento sobre la gestión de la confidencialidad de las redes internacionales de sistemas de información informática
(14) Reglamento sobre la operación y gestión de la red de información de State Grid Corporation (Prueba) p>
División de responsabilidades
Artículo 6 La red de información de cada unidad se refiere a la red de información dentro del alcance de gestión de la unidad, que incluye: la red de área local de la unidad, la red de área amplia interconectada con unidades subordinadas y sistemas de aplicación de red.
Artículo 7 El Departamento de Información Científica y Tecnológica de State Grid Corporation de China es responsable de inspeccionar, supervisar y evaluar el funcionamiento y la gestión de la red de información de cada unidad del sistema de State Grid Corporation de China. Los departamentos de gestión de información centralizada de cada empresa de red eléctrica regional, provincial y empresa de suministro de energía local (municipal) son responsables de implementar los requisitos del departamento superior de gestión de información e inspeccionar, supervisar y evaluar el funcionamiento y gestión de la red de información de la unidad y sus unidades subordinadas.
Artículo 8 Cada unidad debe aclarar que el departamento o agencia de gestión de operaciones es responsable de la operación diaria, el mantenimiento y otra gestión de la red de información dentro del alcance de la gestión de la unidad.
Medidas Básicas
Sección 1 Deber de Operación
Artículo 9 La red de información de cada unidad deberá operar 7×24 horas. Cada unidad debe disponer de personal con los niveles profesionales y técnicos correspondientes para que esté en el sitio durante 5 × 8 horas durante el horario laboral de los días laborales legales. Se debe organizar el servicio fuera del sitio durante el resto del tiempo y garantizar que el personal de servicio pueda llegar al sitio a tiempo cuando haya un problema con el sistema. Se debe implementar servicio in situ las 24 horas del día, los 7 días de la semana, durante períodos importantes para garantizar el funcionamiento normal de los sistemas de aplicaciones clave.
Artículo 10 El oficial de servicio realizará inspecciones periódicas de la red de información durante el trabajo diario, monitoreará el funcionamiento de la red de información en tiempo real a través de medios y medidas técnicas efectivas, y registrará y analizará los datos de operación del sistema. Una vez que se descubre una falla, se debe informar y solucionar con prontitud.
Artículo 11 El oficial de turno deberá llevar un registro de turnos. El personal de servicio debe implementar concienzudamente el sistema de traspaso de turnos y el sistema de notificación de eventos importantes.
Artículo 12 Cada unidad debe configurar un teléfono de servicio exclusivo para notificar a los usuarios e informarlo al departamento superior de gestión de operaciones de red para su registro. Las llamadas de servicio deben responderse las 24 horas del día, los 7 días de la semana.
Sección 2 Responsabilidades laborales
Artículo 13 Cada unidad debe definir claramente el departamento de operación y gestión de la red de información y tener una división clara de responsabilidades entre departamentos.
Artículo 14 El departamento de operación y gestión de redes de información de cada unidad debe establecer puestos para la seguridad de la red, gestión de redes, gestión de sistemas, gestión de bases de datos, tareas operativas, etc. que sean proporcionales al tamaño de su red. , y especificar cada puesto según la situación de la unidad División de responsabilidades laborales. Los puestos técnicos relevantes deben ser asumidos por personal dedicado con los niveles técnicos correspondientes, y cada unidad debe brindarles capacitación y evaluación técnica profesional de manera regular.
Artículo 15 La gestión de la red, la gestión del sistema, la seguridad de la red y otras posiciones clave de la red de información de cada unidad deben implementar un sistema de respaldo para la posición principal y adjunta. Cuando el puesto principal esté ausente, el puesto suplente debe poder realizar el trabajo pertinente en su nombre.
Sección 3 Gestión de tickets de trabajo
Artículo 16 Se debe completar un ticket de trabajo para operaciones de la red de información que involucren lo siguiente:
(1) Solución de problemas de fallas (incluyendo recuperación del sistema)
(2) Eliminación de defectos
(3) Actualizaciones del sistema y cambios de configuración
(4) Operación e interrupción del sistema
(5) Otras operaciones que pueden afectar el funcionamiento del sistema
El formato del ticket de trabajo se muestra en el Apéndice 1.
Artículo 17 Un boleto de trabajo será solicitado por una persona dedicada y emitido por un emisor de boletos de trabajo calificado. El emisor del ticket de trabajo no podrá actuar simultáneamente como responsable (supervisor) del trabajo.
Artículo 18 La responsabilidad del emisor del boleto de trabajo es revisar cuidadosamente todo el contenido completado en el boleto de trabajo, incluida la revisión de la necesidad del trabajo, si el trabajo es seguro, si se completaron los pasos de la operación. en el ticket de trabajo son apropiados, y el personal asignado. Si la persona a cargo del trabajo (supervisor) y los operadores son apropiados, si las medidas de seguridad y emergencia son adecuadas, etc.
Artículo 19 La responsabilidad del responsable del trabajo (supervisor) es organizar el trabajo de manera correcta y segura, organizar a los operadores para completar la preparación de las medidas de seguridad y medidas técnicas antes del trabajo, e implementar estrictamente el ticket de trabajo, etc.
Artículo 20 La responsabilidad del operador es implementar concienzudamente el contenido del trabajo estipulado en el ticket de trabajo bajo la supervisión del responsable del trabajo (supervisor).
Artículo 21 Deberá unificarse la numeración de las boletas de trabajo. El contenido del ticket de trabajo debe incluir: número, contenido del trabajo, ubicación, hora, persona a cargo, personal, unidades colaboradoras, medidas de seguridad, plan y programa de trabajo, firma del aprobador, registros de trabajo, estado de recuperación en sitio y posible impacto. del funcionamiento del sistema y preparación para emergencias, etc. A nadie se le permite completar una boleta o firmar más allá de su autoridad.
Artículo 22 Todas las operaciones deben contar con planes de implementación, pasos, medidas de seguridad, planes de emergencia, etc. Debe haber al menos dos personas en el lugar para supervisar el funcionamiento del sistema.
Artículo 23 Los tickets de trabajo deben archivarse y conservarse durante un largo tiempo para su inspección, y se deben realizar estadísticas periódicamente.
Artículo 24: Para situaciones que requieran un manejo urgente, podrá manejarlas primero después de consultar a los líderes pertinentes, pero deberá emitir una nueva boleta de trabajo posteriormente.
Sección 4 Aceptación comercial
Artículo 25 Cada unidad debe formular sistemas de aceptación comercial relevantes en función de sus propias condiciones comerciales para servicios de redes de información, como acceso a redes de área amplia y redes de dominio urbano. El acceso, el acceso LAN, el acceso al sistema de aplicaciones, los servicios de red, etc. se gestionan de forma estandarizada y orientada a procesos.
Artículo 26: Clasificar los negocios según su importancia, frecuencia de ocurrencia, etc., y estipular el proceso de aceptación y tiempo prometido de finalización para los diferentes negocios.
Artículo 27 El proceso de aceptación comercial debe definirse claramente, incluida la solicitud, aprobación, confirmación, implementación, retroalimentación, archivo, etc., y las responsabilidades de cada puesto involucrado en el proceso deben definirse claramente.
Sección 5 Gestión de la sala de ordenadores
Artículo 28: Cada unidad debe formular un sistema de gestión de la sala de ordenadores de la red de información. La seguridad de la sala de ordenadores debe ser responsabilidad del personal de operación de la sala de ordenadores de turno. y debe quedar claro que el departamento de gestión de operaciones es el responsable. Los seres humanos son la primera persona responsable de la seguridad de la sala de ordenadores.
Artículo 29: Establecer diferentes niveles de seguridad para diferentes áreas de la sala de computadoras y otorgar al personal en diferentes posiciones los permisos correspondientes para entrar y salir de la sala de computadoras.
Artículo 30 A excepción del personal de operación y de mantenimiento, no se permite la entrada de otro personal a la sala de máquinas sin permiso. Los visitantes externos deben obtener el consentimiento previo de los departamentos pertinentes antes de ingresar a la sala de computadoras y deben ser conducidos a la sala de computadoras por personal designado. Lleve a cabo un registro detallado del personal que entra y sale de la sala de computadoras, y los registros de registro relevantes deben conservarse durante más de un año.
Artículo 31 El equipo en la sala de computadoras solo puede ser mantenido y operado por ingenieros dedicados. No se permite la operación de otro personal sin autorización.
Artículo 32 La construcción y mantenimiento de cualquier línea y equipo en la sala de computadoras por parte de personas externas debe obtener el consentimiento previo del departamento de gestión de operaciones y realizarse bajo la supervisión del personal de gestión de operaciones.
Artículo 33 La sala de ordenadores deberá mantener una temperatura y humedad adecuadas, y mantener el ambiente limpio y ordenado.
Sección 6 Servicios al Usuario
Artículo 34 Los servicios al usuario se refieren a los servicios de mantenimiento y aplicación de los equipos terminales de oficina personal de los empleados.
Artículo 35 El departamento de gestión de operaciones de la red debe establecer una línea directa de servicio al usuario, si las condiciones lo permiten, también se pueden utilizar informes de reparación en línea, informes de reparación por correo electrónico, etc., y se deben mantener estadísticas del registro de mantenimiento.
Artículo 36: Se debe asignar personal especial para trabajar 5 × 8 horas en los días hábiles legales, responsable de responder las llamadas de la línea directa de servicio al usuario, verificar y registrar registros de reparación en línea o por correo electrónico, distribución de tareas y comentarios de los usuarios. , Archivar estadísticas y otros trabajos.
Artículo 37 Al contestar el teléfono, el personal de servicio debe utilizar un lenguaje civilizado, comprender en detalle la situación de falla del usuario, realizar registros cuidadosos y responder de manera oportuna. Los informes de reparación en línea y los informes de reparación por correo electrónico deben verificarse y procesarse de manera oportuna.
Artículo 38 El personal de servicio in situ debe corregir su conocimiento del servicio, mejorar la calidad del servicio y tener una buena ética profesional. Cualquier operación en el ordenador del usuario deberá obtener previamente el consentimiento del usuario.
Haga un buen trabajo manteniendo confidencial la información interna de las computadoras de los usuarios y no haga nada que no esté relacionado con el trabajo.
Artículo 39: Disponer razonablemente el inventario de repuestos y equipos de repuesto para garantizar que las fallas puedan eliminarse oportunamente y no afecten el normal trabajo de los usuarios.
Artículo 40 Los métodos de resolución de problemas incluyen soporte telefónico y servicio in situ. El proceso de solución de problemas se muestra en la siguiente figura:
Artículo 41 En circunstancias normales, es necesario llegar al lugar dentro de 1 hora después de recibir el informe de falla.
Artículo 42: Realizar periódicamente encuestas de satisfacción de los usuarios para promover la mejora de la calidad del servicio. Generalmente se requiere una vez al año.
Sección 7 Gestión de equipos
Artículo 43 Los departamentos de gestión de redes de información en todos los niveles deben fortalecer la gestión de equipos, clasificar y codificar equipos, establecer libros de contabilidad y tarjetas de equipos, realizar un seguimiento del estado de salud de los equipos en función de tarjetas de equipo y establecer el historial del equipo estandarizado y la información de archivos.
Artículo 44: Los enrutadores, conmutadores, servidores, instrumentos, medidores, dispositivos de seguridad, etc. deben ser administrados por personal dedicado y con responsabilidades asignadas para garantizar una operación segura y económica.
Artículo 45 Clasificación de los Equipos
Según el tipo, finalidad, soporte (especialmente software) y otros factores del equipo, se clasifica en las siguientes categorías:
(1) Red (enrutadores, conmutadores, servidores de acceso telefónico, transceptores de fibra óptica, firewalls, detección de intrusos, etc.)
(2) Servidores (incluidos minicomputadores, estaciones de trabajo, servidores de PC) p>
(3) Computadoras personales (incluidas las computadoras portátiles)
(4) Equipos periféricos (impresoras, escáneres, trazadores, etc.)
(5) Equipos auxiliares ( gabinetes de red y servidores), aires acondicionados, UPS, etc.)
(6) Herramientas (incluidas herramientas de red, herramientas ordinarias, etc.)
(7) Software
(8) Otros
p>Entre ellos, el software se divide en:
1. Software del sistema
2. Software de aplicación
3. Software de base de datos
4. Software de herramientas
Artículo 46 Codificación de equipos
La codificación de equipos se realizará de acuerdo con las normas pertinentes de codificación sistema.
Artículo 47 Gestión de aceptación de equipos
(1) Una vez que llega el equipo, los departamentos pertinentes deben organizar el personal correspondiente para inspeccionar y aceptar el equipo. La aceptación incluye la aceptación del desembalaje del equipo, la aceptación de la prueba de encendido y la aceptación de la operación de integración del equipo.
(2) El desembalaje y aceptación del equipo a su llegada incluye desembalaje y recuento, verificación de la cantidad de equipo y accesorios (accesorios), información aleatoria y evaluación de la calidad del equipo. La base para la aceptación será el contenido. del contrato firmado. Después de desembalar y aceptar el equipo, el personal de aceptación debe presentar y firmar un informe de aceptación por escrito. El informe de aceptación incluye la lista de llegada del equipo, lista de información aleatoria, instrucciones de identificación de la calidad del equipo, etc.
(3) La aceptación de la prueba de encendido del equipo incluye la prueba de encendido de la máquina, prueba de parámetros, prueba de software, etc. Durante la prueba de encendido y la aceptación del equipo, se deben probar cuidadosamente varios parámetros de acuerdo con los requisitos del acuerdo técnico, y se debe instalar el software correspondiente para realizar pruebas y verificar si los indicadores de rendimiento del equipo pueden cumplir con los requisitos técnicos. . Después de encender el equipo y probarlo para su aceptación, el personal de aceptación debe enviar y firmar un informe de aceptación por escrito. El informe de aceptación incluye una lista de registros de parámetros, una descripción del indicador de desempeño, una lista de problemas, etc.
(4) La aceptación de la operación de integración del equipo debe llevarse a cabo de acuerdo con los requisitos pertinentes del acuerdo técnico para garantizar que el equipo esté integrado en el sistema ya en funcionamiento y pueda alcanzar indicadores de rendimiento técnico calificados. y no tiene un impacto negativo en el sistema original. Una vez aceptada la operación de integración del equipo, se debe presentar un informe de aceptación por escrito y un informe técnico, y se debe organizar un grupo de expertos para realizar la aceptación. Una vez aprobada la aceptación, se debe presentar un informe final.
Artículo 48 Gestión del libro mayor del equipo
(1) Después de la instalación y aceptación del equipo en el sitio, el libro mayor del equipo, la tarjeta del equipo y la etiqueta del equipo deben establecerse dentro de los 30 días para asegúrese de que los libros, las tarjetas y los objetos sean consistentes, y que el contenido de los libros mayores, las tarjetas y las etiquetas sean consistentes. Los estilos del libro mayor de equipos, la tarjeta de equipo y las etiquetas de equipo se muestran en el Apéndice 2, Apéndice 3 y Apéndice 4.
(2) Cada unidad debe presentar informes estadísticos sobre la gestión del libro mayor de equipos a los departamentos pertinentes anualmente.
Artículo 49 Gestión de la operación del equipo
(1) La operación y gestión de todo el equipo debe asignarse a la persona responsable, con inspecciones periódicas, inspecciones y mantenimiento, y registros de tareas y entregas. deben completarse los registros de sucesión. El equipo debe usarse racionalmente de acuerdo con los requisitos técnicos de uso del equipo para que cumpla con los requisitos de diseño.
(2) Implementar un sistema de inspección diaria, inspección semanal, inspección mensual, inspección trimestral y anual. Cualquier problema encontrado debe registrarse y manejarse de acuerdo con los procedimientos pertinentes según la gravedad de los problemas.
(3) Se debe establecer un registro operativo completo para registrar cuidadosamente las anomalías del equipo, los defectos del equipo, los datos de prueba, el análisis de fallas, los procesos de manejo de fallas y otras condiciones operativas, y hacer un buen trabajo en las estadísticas operativas.
Artículo 50 Inspección y mantenimiento de equipos
(1) Cada unidad debe establecer y mejorar los procedimientos de inspección y mantenimiento de equipos y los sistemas de responsabilidad laboral.
(2) Los equipos oficialmente puestos en funcionamiento no podrán ser desactivados ni inspeccionados a voluntad. Al apagar o revisar el equipo, se requiere un boleto de trabajo. Las interrupciones de la red de información que tengan un gran impacto deben ser aprobadas conjuntamente por los departamentos pertinentes antes de que puedan cerrarse.
El tiempo de mantenimiento del equipo superior a 8 horas debe incluirse en el plan de trabajo de mantenimiento mensual y sólo puede implementarse después de la aprobación del departamento competente. El reemplazo de equipos debe estar incluido en el plan de mantenimiento y se debe presentar una solicitud por escrito con una semana de anticipación para la aprobación del supervisor.
(3) El mantenimiento de los equipos interconectados con la red de información superior debe ser aprobado por el departamento de gestión de operaciones de la red de información superior antes de que pueda implementarse.
(4) Para garantizar el mantenimiento normal del sistema de red y la resolución oportuna de problemas, el departamento de operación y gestión de la red de información debe estar equipado con los instrumentos, medidores, herramientas y repuestos necesarios según la situación específica. .
(5) Prepárese cuidadosamente para diversas tareas de mantenimiento, prepare planes de mantenimiento de equipos, mantenga registros y complete las tareas de mantenimiento de la manera más rápida y precisa posible.
(6) Realizar con seriedad los procedimientos de inspección y aceptación. Implementar estrictamente el principio de "quien realiza el mantenimiento es responsable" para mejorar la calidad del mantenimiento y garantizar una operación segura.
Artículo 51 Renovación y Actualización de Equipos
(1) La renovación y actualización de equipos debe tener planes a mediano y largo plazo y planes anuales, y estar cuidadosamente organizada e implementada.
(2) Para transformar y actualizar equipos importantes, se debe realizar una demostración técnica y económica con anticipación y presentarla para su aprobación de acuerdo con las regulaciones pertinentes.
(3) Después de la aceptación de la modificación del equipo, se deben procesar los registros de cambio de equipo.
Sección 8 Gestión de datos
Artículo 52 Datos se refiere a las normas, sistemas, planes y resúmenes (incluidos los planes), registros, documentos de gestión de proyectos, libros de contabilidad de equipos (tarjetas), documentos técnicos. , etc. son documentos estrechamente relacionados con la construcción y operación del sistema, que registran los parámetros operativos del sistema, indicadores técnicos, configuración del equipo, diseño del esquema, contratos de construcción del proyecto y otra información.
Artículo 53 Los requisitos de gestión de datos incluyen:
(1) Hacer un buen trabajo en la recopilación, clasificación, registro, conservación, evaluación y utilización de datos. Los datos técnicos de los equipos deben ser completos, correctos, unificados y claros. Para equipos grandes, los datos aleatorios originales deben enviarse al departamento de archivos para su archivo. Para equipos importantes y básicos, los datos deben copiarse y guardarse de múltiples maneras y en diferentes ubicaciones.
(2) Los datos técnicos del equipo deben ser administrados por personal dedicado, que también debe ser responsable de la seguridad de los datos y evitar estrictamente la fuga de información confidencial.
(3) El personal de gestión de datos debe tener las cualidades básicas del personal de gestión de archivos, dominar ciertos conocimientos profesionales y técnicos y sólidas habilidades de aplicación informática, y ser capaz de clasificar y archivar claramente los documentos que gestiona.
(4) El espacio de almacenamiento de documentos debe ser lo más estrecho y resistente posible, y cumplir con los requisitos de las siete prevenciones (fuego, polvo, ratas, insectos, humedad, luz y robo). La temperatura del almacén debe controlarse entre 14 y 24 grados Celsius. La humedad relativa debe controlarse entre 45 y 65%.
(5) Durante la construcción del proyecto, el líder del proyecto o la persona designada será responsable de recopilar y organizar los documentos generados durante todo el proceso del proyecto, clasificarlos y marcar las instrucciones necesarias dentro de una semana después del proyecto. aceptación Envíe todos los documentos del proyecto al administrador de documentos para su archivo.
Artículo 54: Los materiales archivados deberán mantenerse orgánicamente conectados según las leyes naturales de su formación, clasificados en archivos, de manera que los documentos reflejen correctamente el proceso de construcción de los diferentes sistemas y faciliten el préstamo.
Artículo 55: Dependiendo de la importancia y confidencialidad de los datos, se copiarán los datos importantes y se copiarán los datos electrónicos.
Sección 9 Gestión de cuentas
Artículo 56 Las cuentas de la red de información incluyen cuentas de usuario, cuentas del sistema de aplicaciones, cuentas de superadministrador, etc. La apertura de cuentas de usuario debe ser específica para cada usuario, estando prohibida la apertura de cuentas para roles o puestos. El establecimiento de cuentas del sistema de aplicaciones debe basarse en cada servicio de la aplicación para evitar que varios servicios compartan una cuenta y evitar el uso de la cuenta de superadministrador para ejecutar el sistema de la aplicación. La cuenta del sistema de la aplicación debe usarse para la administración interna del sistema de la aplicación, y la cuenta de superadministrador solo se puede usar cuando sea necesario.
Artículo 57 La gestión de cuentas y contraseñas deberá incluir la especificación, protección, uso y cambios de permisos de nombres de usuarios y contraseñas.
Artículo 58 El establecimiento de una cuenta en cualquier sistema deberá ser aprobado conforme a los procedimientos.
Artículo 59 Las contraseñas deben tener suficiente extensión y complejidad y estar actualizadas oportunamente. Para contraseñas importantes, se debe establecer un sistema de modificación regular.
Artículo 60 La contraseña del superadministrador del sistema debe ser conservada y modificada por una persona dedicada, y el alcance de su uso debe ser estrictamente limitado.
Artículo 61 Si un usuario pierde u olvida su contraseña, deberá volver a solicitarla al departamento de gestión de operaciones mediante el proceso establecido.
Artículo 62 Cuando los usuarios sean transferidos fuera de la unidad, deberán acudir al departamento de gestión de operaciones para realizar los trámites de cancelación de cuenta. Los administradores deben deshabilitar inmediatamente sus cuentas, cerrar sesión en sus cuentas y revocar sus permisos dentro del tiempo especificado.
Artículo 63 Se deben realizar inspecciones de seguridad y educación sobre la administración de contraseñas para todo el personal de administración, incluidas principalmente las contraseñas de Internet y las contraseñas de sistemas de aplicaciones con funciones de divulgación de información.
Sistema de red
Sección 1 Gestión de acceso al equipo de usuario de la red
Artículo 64 El equipo de usuario de la red se refiere a la red a la que se debe acceder en la red local del usuario Equipos terminales como estaciones de trabajo e impresoras de red.
Artículo 65: Para el acceso a los equipos de usuario de la red, el responsable del equipo deberá completar el "Formulario de Solicitud de Acceso a Equipos de Usuario de la Red" (ver Apéndice 5), y el líder del departamento deberá aprobarlo antes. enviándolo a la red de información, el departamento de gestión de operaciones presenta una solicitud, y luego de obtener el consentimiento del departamento de gestión de operaciones de la red de información, los administradores del sistema correspondiente serán responsables de conectar equipos específicos a la red. El departamento de gestión de operaciones de la red de información debe establecer archivos de equipos de los usuarios de la red.
Artículo 66 La configuración o modificación de los parámetros de red relevantes del equipo del usuario de la red debe ser completada por el administrador del sistema correspondiente o solo puede operarse después de obtener la aprobación del administrador del sistema correspondiente. Los usuarios de la red no pueden cambiar los parámetros de configuración de la red sin permiso y deben utilizar los recursos de la red correctamente de acuerdo con los permisos de operación de la red. Todas las operaciones ilegales están estrictamente prohibidas.
Artículo 67: Cada equipo de usuario de la red es utilizado por una persona dedicada que se encarga del mantenimiento y conservación diarios para garantizar su normal funcionamiento. Si ocurre algún problema, se deberá notificar al personal de operación de la red de información de turno. de manera oportuna.
Artículo 68: Todos los equipos de los usuarios de la red deben utilizar software genuino, y los departamentos de operación y gestión de la red de información en todos los niveles deben personalizar sus sistemas.
Artículo 69: Cada equipo de usuario de la red se utiliza para el trabajo diario. Queda estrictamente prohibido utilizar el equipo de usuario de la red para cualquier fin que no sea el laboral. Está estrictamente prohibido descargar programas ilegales de Internet y está estrictamente prohibido utilizar servidores proxy y escáneres de puertos sin permiso.
Artículo 70 El desmontaje y movimiento de los equipos de los usuarios de la red y sus componentes deberá realizarse estrictamente de acuerdo con los requisitos de carga y descarga de los equipos.
Artículo 71 Sin la aprobación del departamento de operación y gestión de la red de información, ninguna unidad o individuo podrá conectarse de forma privada a la red externa a través de líneas telefónicas y otros enlaces de comunicación, afectando la seguridad de toda la red.
Artículo 72 Los equipos de los usuarios de la red deben dejar de ejecutar protocolos, servicios e interfaces innecesarios y no deben abrir servicios de red irrelevantes a voluntad.
Artículo 73 Quienes violen los requisitos anteriores, el departamento de operación y gestión de redes de información tiene el derecho de desconectar sus conexiones de red y adoptar los procedimientos correspondientes para atenderlos.
Sección 2. Copia de seguridad del sistema de red
Artículo 74 La configuración de los equipos de red (enrutadores, conmutadores, etc.) requiere copias de seguridad periódicas de soportes electrónicos y de papel.
Artículo 75 Antes y después de operaciones como cambios en la configuración de la red y actualizaciones del software del sistema, se debe realizar una copia de seguridad de las configuraciones del dispositivo.
Artículo 76: Realizar un buen trabajo en la gestión de versiones y respaldo del software del sistema.
Artículo 77: Actualizar oportunamente el diagrama de estructura de topología de la red en este nivel.
Artículo 78 Determinar el plan necesario de recuperación e instalación del sistema de red.
Sección 3 Aislamiento de red
Para la interconexión de redes, se deben dividir diferentes áreas de seguridad según diferentes niveles de seguridad. Se deberá realizar el aislamiento necesario entre diferentes áreas de seguridad. Los requisitos operativos para el punto de aislamiento son los siguientes:
Artículo 79 La conexión de red del punto de aislamiento deberá ser monitoreada en tiempo real 24 horas al día, 7 días a la semana.
Artículo 80: Cuando ocurre una conexión anormal en la red, pero el sistema aún puede funcionar normalmente, el personal de operación debe utilizar inmediatamente medios técnicos para aislarla efectivamente, limitar el acceso ilegal y rastrear su fuente. comunicarlo al departamento de gestión de operación de la red de información de la unidad donde trabajen para su tratamiento.
Artículo 81 Cuando ocurre una gran cantidad de accesos anormales en el punto de aislamiento y el sistema no puede operar normalmente, el personal de gestión de operación deberá cortar el enlace de interconexión entre el dispositivo de aislamiento y la red local, completar un formulario de solicitud de falla y notificar al personal de administración de seguridad de la red para manejar. Los administradores de seguridad de la red siguen el proceso de solución de problemas hasta que el sistema pueda ponerse en funcionamiento normal.
Artículo 82 Los administradores de seguridad de la red deben auditar y recopilar estadísticas periódicamente sobre los registros de acceso, registros de eventos y otros sistemas de dispositivos de aislamiento de la red, realizar los ajustes necesarios a las políticas de seguridad del sistema y elaborar los informes correspondientes.
Sección 4 Gestión de Direcciones IP
Artículo 83 Las direcciones IP de todos los nodos internos de la Red de Información de la Red Estatal deben estar de acuerdo con la "Dirección IP de la Red de Información del Sistema Eléctrico Nacional Especificación de codificación" Codificación basada en principios para garantizar la interconexión de la red. Las redes y nodos que no cumplan con las especificaciones de codificación de direcciones IP no pueden acceder a la red de información y se les niega el acceso mutuo dentro de la red de información de State Grid. Por razones históricas, si la dirección IP no se ha codificado de acuerdo con los principios de la "Especificación de codificación de direcciones IP de la red de información del sistema de energía eléctrica nacional", se debe modificar gradualmente a una dirección IP asignada uniformemente durante las actualizaciones, optimización y ajustes de la red. .
Artículo 84 Las redes de información de todos los niveles deben informar periódicamente al departamento superior sobre el plan de asignación de direcciones IP y el uso real de la red de información en este nivel.
Sistema de Servicios de Red
Sección 1 Servicio WWW
Artículo 85 Seguridad del Sistema:
(1) Software del Sistema de Servidor Web y software de aplicación debe actualizarse con parches de manera oportuna.
(2) Establezca un sistema de respaldo y manténgalo sincronizado con el sistema principal para que pueda ponerse en uso a tiempo después de que el sistema principal falle o sea manipulado ilegalmente.
(3) El sistema debe tener un cierto nivel de seguridad para evitar que usuarios no autorizados accedan al sistema y proteger el contenido del sitio contra infracciones. Las identidades de los usuarios y las estaciones de trabajo deben autenticarse antes de cargar datos.
(4) El sistema debe tener una función de control de acceso a la página de inicio que pueda prohibir el acceso de ciertos usuarios configurando nombres de dominio o direcciones IP.
(5) Tiene una función de monitoreo para monitorear el rendimiento del sistema y el uso del sitio, y ajustar el rendimiento del servidor y diagnosticar fallas según la situación de monitoreo.
(6) Tiene múltiples funciones de registro de registros, incluido el número de visitas al sitio, condiciones de error, servicios prestados, seguimiento y monitoreo, y medición del desempeño en tiempo real.
Artículo 86 Mantenimiento de la información:
(1) La información del sitio web debe mantenerse periódicamente y actualizarse de manera oportuna, especialmente noticias y otra información, para garantizar la puntualidad y actualidad de la información de las noticias. La precisión de la información importante hace que la información en línea sea rica, verdadera, oportuna y eficaz. El ciclo de actualización varía según el contenido. Después de actualizar una columna grande, la fecha de la última revisión debe mostrarse en la página web.
(2) Verifique periódicamente si el enlace, el script CGI y el HTML son válidos para garantizar el funcionamiento normal del sistema.
(3) Desarrollar nuevo contenido y agregar nuevas columnas según sea necesario.
Artículo 87 Auditoría de la información de Internet
(1) Para garantizar la autenticidad, integridad, confiabilidad, exactitud, seguridad y confidencialidad de la información de Internet, es necesario establecer un estricto y sistema completo de revisión de clasificación de información para revisar información en línea. Personal especializado de los departamentos pertinentes debe revisar diferentes tipos y niveles de información, según corresponda. La información importante debe ser revisada por los líderes relevantes. El proceso de revisión específico se determinará en función de las circunstancias de la unidad.
(2) El departamento de divulgación de información debe establecer un sistema completo de registro de divulgación de información y establecer un flujo de trabajo efectivo para la recopilación, revisión, almacenamiento, transmisión, copia de seguridad, monitoreo, procesamiento y presentación de informes de la información.
(3) Al publicar información en el sitio web, es necesario implementar estrictamente la Ley de la República Popular China sobre Salvaguardia de los Secretos de Estado, el Reglamento de la República Popular China sobre la Protección de la Seguridad de la Información Informática Sistemas, y las Leyes, reglamentos y disposiciones del Ministerio de Seguridad Pública como las "Medidas para la Protección y Gestión de la Seguridad de las Redes Internacionales de Redes Informáticas de Información" y las "Disposiciones Provisionales sobre la Gestión de la Seguridad de los Sistemas Informáticos de Información" por parte de la Administración del Estado del Secreto.
(4) Los recursos de información divulgados en el sitio web deben cumplir con las normas de confidencialidad pertinentes y, de acuerdo con el principio de "quien publica, quién es responsable", la seguridad de la información de esta unidad y departamento debe ser mantenido confidencial. La unidad emisora será responsable de la autenticidad y legalidad de la información.
(5) El alcance de la recopilación y divulgación de información en línea en sitios web internos debe ser coherente con el alcance de gestión y el alcance comercial de la unidad y el departamento. En principio, la recopilación y divulgación de información interna. El sitio web no debe exceder el alcance de gestión y el alcance comercial de la unidad y el departamento.
(6) La versión en inglés de la información de la página de inicio debe estar traducida con precisión, ser auténtica y fiable.
(7) Se deben observar las leyes y regulaciones relacionadas con derechos de autor, marcas comerciales, logotipos, tipos de datos multimedia y software, y no se debe utilizar información sin el permiso del propietario de los derechos de autor.
Artículo 88 Gestión de anuncios electrónicos
(1) Todos los sitios web corporativos deben tratar con precaución los servicios de información interactivos (BBS, foros de mensajes, salas de chat, etc.). Quienes se dediquen a servicios de información de Internet y tengan la intención de realizar servicios de anuncios electrónicos deberán presentar una solicitud especial o una solicitud especial al solicitar una licencia de servicio de información de Internet comercial o solicitar un servicio de información de Internet no comercial a la agencia de gestión de telecomunicaciones de la provincia. comunidad autónoma, o municipio dependiente directamente del Gobierno Central o del Ministerio de la Industria de la Información.
(2) Al abrir los servicios mencionados anteriormente, se deben implementar estrictamente las "Regulaciones de gestión del servicio de anuncios electrónicos de Internet" y se debe designar personal especial para administrar y monitorear de cerca si se encuentran problemas. debe ser tratado inmediatamente y reportado a los departamentos pertinentes de acuerdo con las regulaciones.
(3) La columna interactiva debe tener funciones de registro y reconocimiento de identidad, y tener la función de guardar registros de operación de red del sistema y registros de uso del usuario durante más de 90 días.
Sección 2ª Servicio de Correo Electrónico
Artículo 89 El sistema de correo electrónico deberá tener alta confiabilidad. Si las condiciones lo permiten, se debe configurar como modo de espera activa de doble máquina. Si no hay hardware redundante disponible, se debe implementar rápidamente un plan de recuperación de fallas. La redundancia debe ser transparente para el acceso de los usuarios.
Artículo 90 Deberán adoptarse medidas antivirus para evitar la propagación de virus a través del correo electrónico.
Artículo 91 El sistema de correo deberá contar con funciones anti-retransmisión, anti-spam y otras.
Artículo 92: Se deberán establecer límites en el tamaño del espacio de los buzones de correo de los usuarios para evitar el abuso de los recursos del sistema.
Artículo 93 El sistema de correo electrónico debe tener una determinada función de filtrado de correo electrónico y poder eliminar automáticamente los correos electrónicos que contengan determinadas palabras o direcciones de correo electrónico específicas. Una vez que se descubren fuentes de correo electrónico incorrectas, los administradores deben actualizar de inmediato las reglas de filtrado de correo electrónico.
Artículo 94 El sistema de correo deberá ejecutarse con permisos no Root.
Artículo 95: Cada unidad deberá establecer procedimientos estrictos para solicitar cambios en las cuentas de correo electrónico.
Artículo 96 Los administradores de sistemas de correo electrónico deberán respetar las normas legales pertinentes y la ética profesional, y mantener la privacidad y seguridad de la empresa y de los usuarios individuales.